二重化構成について 


本章では「ね\^1136〜6「を2台使用して、二重化構成を構築するための手順について説明します。 


概要 (—11 4ページ） . 

. 一重化機能の動作概要について説明します。 

設定手順(―117ページ） . 

. 管理用サーバを用意した_重化構成を構築する場 

合の設定手順について説明しています。 

運用 (—139 ページ） . 

. _重化構成での運用方法について説明します。 


二重化構成の再セットアップ(—143ページ） . 再セットアップの手順が単体構成とは異なりま 

す。再セツトアップの際の差分や手順について説 
明します。 


注意 ■ 制限事項(―144ページ) 


二重化構成で運用する際の注意事項や制限事項に 
ついて説明します。 










概要 


サーバ監視専用 LAN 





二重化構成について説明します。 


動作概要 


ド1阳\^31136「ソ6「を二重化することで1台が障害などにより停止しても、もラ1台のサーバへ自 
動的に引き継ぐことにより、障害時の業務停止時間を最小限に抑えることができます。 

また、運用系で Fi 「 eWall -1 プロセスの異常を検出した場合、および設定された IP アドレスと 
の通信が途絶した場合にも、待機系に業務を引継ぐことが可能です。 

以下の仕組みでドね\^1136「\/6「を二重化します〇 

• 通常運用時 

-運用系側の「1阳\^31136〜6「で有効にした仮想卩アドレスを使用してインターネット 
側、イントラネット側の双方からアクセスします。 

-運用系/待機系の「ね\^1136〜6「は互ぃにサーバの状態を監視をします。 


イントラネツト側 LAN 


インターネット側 LAN 


rv 





114 



























• 運用系サーバダウン時 


待機系の Fi 「 ewallSe 「 vea ^ m $0$” ンを検出します。 

待機系のドね\^1136「ソ6「が仮想卩アドレスを有効にします。 

インターネット側、イントラネット側の双方からのアクセスは仮想 IP アドレスを使 
用しているのでサーバの切り替わりを意識することはありません。 


イントラネツト側 LAN 




DMZ を使用する場合もイントラネット、インターネット同様に仮想 IP アドレスが引き継がれ 
ます。 


二重化構成ではドね\^1136「ソ6「2台のほかに管理用サーバ(\/\/ゎ〇1〇\^1\1丁 Server など)が1台 
必要になります。 

管理用サーパに Fi 「 eWall -1 管理モジュールをインストールし、2台のドね\^11361^^「を管理し 
ます。 
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必要な 1 J ソース 


二重化を実現するためにはド1阳\^31136^^「を単体で運用するときに比べて新たなリソースが 
必要です。 

セットアップの前にリソースの計画や設定をしてください。 

• 仮想 IP アドレス(インターネット側)：1つ 

インターネット側で引き継ぐアドレスです。 

インターネット側のネットワークアドレス内で未使用のホストアドレスをアサインして 
ください。 

このアドレスはサーバに設定する必要はありません。 

• 仮想 IP アドレス(イントラネット側)：1つ 

イントラネット側で引き継ぐアドレスです。 

イントラネット側のネットワークアドレス内で未使用のホストアドレスをアサインして 
ください。 

このアドレスはサーバに設定する必要はありません。 

• 仮想 IP アドレス ( DMZ 側)：1つ 

DMZ で引き継ぐアドレスです。 

DMZ を設けない場合には不要です。 

DMZ のネットワークアドレス内で未使用のホストアドレスをアサインしてください。 

このアドレスはサーバに設定する必要はありません。 

• サーバ間通信用アドレス：1つ、もしくは2つ 

ド1阳\^31136「\/6「間の監視に使用するアドレスです。 

インターネット側、イントラネット側と共用にしても問題はありませんが、可能であれ 
ば、専用のポートを使用してください。 

専用のポートが用意できる場合、サーバ間をクロスケーブルで接続してください。 

それぞれのサーノ（に最低一つずつ設定してください。 
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設定手順 

以下のネットワーク構成を例にとって設定を行います。 


• 

運用系サーバ 



ホスト名： 

fwsl 


インターネット側実 IP アドレス： 

202.247 .5.1/255.255.255 .〇 


DMZ 側実 IP アドレス： 

172.16 .1.1/255.255.255 .〇 


イントラネット側実 IP アドレス： 

192.168 .1.1/255.255.255 .〇 


サーバ間通信用 IP アドレス： 

192.168 .2.1/255.255.255 .〇 

• 

待機系サーバ 



ホスト名： 

fws 2 


インターネット側実 IP アドレス： 

202.247 .5.2/255.255.255 .〇 


DMZ 側実 IP アドレス： 

172.16 .1.2/255.255.255 •〇 


イントラネット側実 IP アドレス： 

192.168 .1.2/255.255.255 .〇 


サーバ間通信用 IP アドレス： 

192.168 .2.2/255.255.255 .〇 

• 

仮想 IP アドレス 



インターネット側： 

202.24 7.5.3 


DMZ 側： 

172.16 .1.3 


イントラネット側： 

192.168 .1.3 

• 

監視先 IP アドレス 



インターネット側ルータ： 

202.247 .5.254 


イントラネット側ルータ： 

192.168 .1.254 

• 

管理用サーバ 



ホスト名： 

nrewalLmgr 


IP アドレス： 

192.168 .1.4/255.255.255 .〇 
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E 


ットアップの 3 



以下にセットアップの流れを示します。ここでは二重化に関する設定内容のみを説明しま 
す。その他の手順については第2章の「セットアップ」を参照してください。 


管理用コンピュータのセットアップと接続 


〇 


FireWaN- 1管理サーバのセツトアップ 


，第2章の51ページ 


119ページ〜123ページ 


〇 


FirewallServer のセットアップ 


マシンの基本設定 


2. Fi「eWall-l モジュールのインス!-ール 


3. FireWaN-1 のコンフィグレーション 


二重化機能の基本設定 


〇 

〇 

牙 


♦第2章の54ページ〜57ページ 


♦第2章の58ページ 


^124ページ〜126ページ 


►127 ページ 


►133 ページ 


他のネットワーク機器の設定 


►138 ページ 
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FireWaH -1 管理サーバのセツトアツ 



二重化する2台のド1阳\^31136^6「を管理するための管理サーバをセットアップします。以下の 
条件を満たすコンピュータに管理モジュールをインストールしてください。 

オペレーティングシステム ： Windows NT 4.0 Server (SP6a )、 

Windows 2000 Server (SP1 ^ SP2 ) 、 

Windows 2000 Advanced Server (SP1 、 SP2 )、 
Sola 「 is/SPARC7(32bit )、 

Solaris/SPARC 8 (32bit 、 64bit ) 、 

RedHat Linux 6.2 (kernel version 2.2.14 、 2.2.17). 
RedHat Linux 7.0 (kernel version 2.2.16 、 2.2.17 、 2.2.19 ) 、 
RedHat Linux 7.2 (kernel version 2.4.9-13) 

ディスク容量： 40MB 以上 

メモリ： 256MB 以上推奨 


上記は 2002 年 3 月現在の情報です。今後のパッチリリースにより変更になる可能性があり 
よす 0 


以下は 1 台の Windows 2000 Server に管理モジュールと GUI クライアントをインス I ルす 
る場合の設定例です。 


一重化構成について 
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管理モジュールと GUI クライアントのインストール 


1. コンピュータの CD - ROM ドライプに Check Point Next Generation の CD - R 〇 M をセツトする。 
自動的にインストールプログラムが起動し、画面が表示されます。 

インストールプログラムが起動しない場合は ¥ wrappers ¥ windows フォルダにある 
f demo 32. exe 」 を実行してください 0 


2. [ Next ] をクリックする 0 

使用許諾契約書が表示されます。 

3. 内容をよく読み、同意する場合は [ Yes ] を 
クリックする。 

同意しない場合は [ No ] をクリックして終 
了します。 

プロダクトメニューの画面が表示されま 
す。 

4. rSERVER/GATEWAY 
COMP 〇 NENTS 」 を選択し、 [ Next ] をク 
リックする。 

プロダクト選択の画面が表示されます。 


H Check Point 

Software Technologies ud. 
We Secure the Internet. 


Welcome to 





NextGeneration 


Next Generation 


Includes Feature Pack 1 

We recommend that you close all other applications 
while running this installation program. 

This product is protected by copyright law and all 
unauthorized reproduction is forbidden. 

Important Information: 

► About evaluation 

► About purchased products 

► About the contents of this CD 


5. rVPN-1 & Firewall - 1 」と 「Management 
Clients 」 をチェックして、 [ Next ] をク 
リックする。 

I チェック I 

その他のコンポーネントのチェックは 
外します。 



Server/Gate^ay Lomponents 

To reaa more about a product, move your mouse over its nam 
To select the product for installation, dick on its name. 



V?N-1®&FireWall-1® 


An integrated VPN and security solution for both 
single gateway and multi-site deployments which provides 
access control, authentication, encryption, network address 
translation, high availabi’liy, content security, auditing and 
enterprise policy management. 

Also includes: 

- VPN-1 SecureScrver 
- Open Security Extension 
- ConncctControl 
- Secure Update 
- High Availability Module 
- Management Server 
- Gateway Module 


f < Back f Next ► j 


6 . 右図の内容が表示されていることを確認 
し、 [ Next ] をクリックする。 

インストールするコンポーネントを選択 
する画面が表示されます。 



Please read the following text. 





You have selected following product(s )： 

VPN-liFiretfall-1 

Management Clients 





_[j Next > 一 Cancel | 
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7.「Enterprise Primary Management」 を 
チェックして、 [Next] をクリックする。 

旧パージョンの VPN- 1 /FireWall- 1モ 
ジュールを管理するかを選択する画面が 
表示されます。 


VPN-1 & FireWall-1 Enterprise Product 



M 、 Enteipr ゾ f 

V r Enf^e S 


the VPN-1 8¢ FireWall-1 Product Type you are about to install: 


nagement i 
Management 


Primary Manage 
Secondary Mar 

^rcement Module Sc Primary Management 
Enforcement Module 
Enterprise Log Server 


< Back I Next > 


Cancel 」 


8 . 「Install without backward compatibility」 をチェックして、 [Next] をクリックする。 
rVPN-1 &FireWall-1」 インス I -ール先のフォルダを指定する画面が表示されます。 

9. 必要に応じてフォルダを変更し、 [Next] をクリックする。 

インストールが開始されます。 

10. インストール完了メッセージが表示されたら[〇 K] をクリックする。 

「Management Clients」 インストール先のフォルダを指定する画面が表示されます。 

11. 必要に応じてフォルダを変更し、 [Next] をクリックする。 

インストールするコンポーネントを選択する画面が表示されます。 


12. 「Policy Editor」、「Log Viewer」、 
「System Status」 にチェックして [Next] 
をクリックする。 

インストールが開始されます。 

13. インストール完了メッセージが表示され 
たら[〇 K] をクリックする。 


Select Components 


-J 

m 
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引き続き FireWall-1 のコンフィグレーションを行います。 
最初にライセンスの入力画面が表示されます。 



m 




14. [Fetch From File] をクリックしてライセンスが送付されてきた E-mail の添付ファイル (*.lic) を指定 
するか、 [Add] をクリックし、取得したライセンス情報を入力する。 

管理者の設定画面が表示されます。 




Name Mon it or mg Security | 上: ers Data... | LDAP 


TR1 


Confirm Password： 

(? Read/W-ite All 


I 


Specify Administrators who are permitted to us 
into this Management Server. 

You must define at least one administrator. 


ureUpdate： 
ids Database： 


BI'Check Point Users Database 
Pi LDAP Users Database： 

P Security Policy： 

厂 i:::' : : !:v 


ReadA 

RiidA 


| キャン 


15. [Add] をクリックし、 FireWall-1 の管理者、パスワード、および属性を設定する。 
GUI クライアントの設定画面が表示されます。 



本構築例では GUI クライアントを管理サーバと同一のコンピュータにインストールするので設定 
は必要ありません。 GUI クライアントを別コンピュータにインストールする場合には、そのコン 
ピュータの IP アドレスを設定してください。 


ランタ'ムキーを入力する画面が表示されます。 


























































































































16 . パーがフルになるまで入力する。 


Certificate Authority か作成されます0 
17. 設定が完了したらコンピュータを再起動させる。 


__ _ . _ _ d tor instal led 

software operation on this computer. To activate 
the installed software operation, you must 
computer. 



t* ffes, I want to restart my computer now.! 

No, I will restart my computer later. 

Remove any disks from their drives, and then 
click Finish to complete setup. 


(Back | Finish J Cancel 」 
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Firewall -1 のコンフイグレーシ 



二重化構成の場合、コンフィグレーション手順が第2章の「セットアップ」とは一部異なりま 
す。次の手順に従ってコンフィグレーションを行います。 

設定は FireWall- 1 付属の cpconfig コマンドで行います。 


# cpcontig 

Welcome to Check Point Configuration Program 


Please read the following license agreement. 

Hit 'ENTER 1 to continue ..."■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■ 


Do you accept all the terms of this license agreement (y/n) ? y 

which Module would you like to install? 


(1) VPN-1 & Firewall-1 Enterprise Primary Management and Enforcement Module 

(2) VPN-1 & Firewall-1 Enforcement Module 

(3) VPN-1 & FireWall-1 Enterprise Primary Management 

(4) VPN-1 & FireWall-1 Enterprise Secondary Management 
(1)VPN-1 & FireWall-1 Enterprise Log Server 

Enter your selection (1-5/a) : 2 . 

In this a Dynamically Assigned IP Address Module instaration? (y/n) [n] ? n 

Would you like to install the High Availability product? (y/n) [n] ? y .... 


① 


② 


③ 

④ 

⑤ 


① く Ente 「> キーを 押す。 

使用許諾書が表示されますのでお読みください。 

② 使用許諸に承認した場合は<丫〉キーを押す。 

③ インストールするモジュールを選択する。 

二重化構成の場合は2を選択し、分散型構成でインストールします。 

④ Dynamically Assigned IP Address Module を インストールするか問い合わせがあるの 
で、 <N > キーを 押す。 

⑤ High Availability product をインストールするか問い合わせがあるので、<丫>キーを押 
す0 
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Configuring Licenses... 


Host Expiration Features 

Do you want to add licenses (y/n) [n] ? y . 

Do you want to add licenses [M]anually or [F]etch from file : m 

IP Address ： 202 . 247 . 5.1 - 

Expiration Date : 

Signature Key : 

SKU/Features : - 

License was added successfully 

License will be put into kernel after cpstart 

Configuring Groups... 


VPN-1 & FireWall-1 access and execution permissions 


Usually, a VPN-1 & FireWall-1 module is given group permission 
for access and execution. 

You may now name such a group or instruct the installation 

procedure to give no group permissions to the VPN-1 & FireWall-1 module. 

In the latter case, only the Super-User will 

be able to access and execute the VPN-1 & Firewall-1 module. 

Please specify group name [<RET> for no group permissions] : ... 

No group permissions will be granted. Is this ok (y/n) [y] ? y . 

Setting Group Permissions... Done. 


① <丫>キーを入力して、ライセンスを追加する。 

② < M > キーを入力して、ライセンスを画面から(マニュアルで)入力する。 

③ 事前に取得したライセンス情報を入力する。 

④ ドね\^1136「\/6「では通常グループを作成しないので<巳1^6「>キーを押して続ける。 

⑤ <丫>キーを押して続ける。 


①② ③ 
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Configuring Random Pool... 


You are now asked to perform a short random keystroke session. 
The random data collected in this session will be used in 
various cryptographic operations. 

Please enter random text containing at least six different 
characters. You will see the '*' symbol after keystrokes that 
are too fast or too similar to preceding keystrokes. These 
keystrokes will be ignored. 

Please keep typing until you hear the beep and the bar is full. 

[ . ]. 

Thank you. 

Configuring Secure Internal Communication... 


The Secure Internal Communication is used for authentication between 
Check Point components 

Trust State : Uninitialized 
Enter One Time Password : - 1 
Again One Time Password : 

The Secure Internal Communication was successfully initialized 

initial_module : 

Compiled OK. 

Hardening OS security ： Initial policy will be applied 
unti 丄 the first policy is installed 

In order to complete the installation of module 
you must reboot the machine. 

Do you want to reboot? (y/n) [y] ? y . 


① 


② 


③ 


① バーがフルになるまでランタ'ムキー入力をする。 

② Fi 「 eWall -1 管理サーバとドね\^1136「ソ6「間での通信に使用するパスワードを設定する。 

③ 終了後、再起動する。 
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■ J テイポリシーの設定 


FireWall - 1管理サーバ上でセキュリティポリシーを作成し、管理対象の2台の FirewallServer 
に同時にインストールします。 


□グファイル□ーテーシヨンの設定 

二重化構成では Fi 「 eWall -1 管理サーバにログを保存するために、以下の手順でログファイル 
の口ーテーシヨン設定を彳了います。 

FireWall - 1管理サーバのオブジェクト（最初に Policy Editor を起動すると FireWall - 1管理サー 
パのオブジェクトが自動的に生成されます。 ） を開き、 Management ページで 「Schedule log 
switch to :」 にチェックし切り替え時間を設定します。 

11-0 上記設定で□グファイルの□ーテーシヨンは実行されますが、ファイルは削除されません。 

空きディスク容量をチェックして、古い□グファイルを手動で削除するようにしてくださ 
し、0 
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Firewall Gateway オブジェクトの作成 

二重化構成では Firewall 6316\^ソ阳「6\^1136「\/6「)のオブジェクトの作成方法が異なります。 


1. 2台の FirewallServer のオブジェクトを作成する。 

オブジェクト： Workstation 
名前 ： fwsl 、 fws2 

内容 HP Address には FireWall-1 管理サーバと同じネットワーク（イントラネット）の 

実 IP アドレスを指定する 

T opology ページで全インタフェースを設定する。 

FireWall-1 管理サーバから FirewallServer を管理(セキュリティポリシーの設定やログ表示など)す 
るためには、 FireWall- 1管理サーバと FirewallServer との間で通信を行うための設定が必要です。 
General ぺージで [Communication...] をクリックし、 FireWall- 1のコンフィグレーシヨン時に設定 
したパスワードを入力します。 


卜 Topology 
| NAT 

: Authentication 
田 Management 
田 Advanced 



C Host (• Gateway 

Check Point Products 
W Check Point products installed 


Version ： 「NG Feature Pack 1 


0FireWall-1 

I 

□VPN-1 

□ FloodGate-1 



Object Management 
t* Managed by this Management Server SternaI) 

C Managed by another Management Server (External) 
Secure Internal Communication - 
Communication... I DN ： 「 


The password 
configuration. 


that you specify must also be used in the module 


Confirm Password ： 林林 | 
Irust state ： fUnmitializ 


■ Interoperable VPN Device 


Test SIC Status J i 

! | Help 


2. ネットワークオブジェクトとして以下のオブジェクトを作成する。 


オプソエクト： Gateway Cluster 
名則 : fws_cluster 

内容 ： IP Address にはインターネット側の仮想 IP アドレスを指定する 































































3. Cluster Members ページで、手順 1 で作成した 2 台の RrewallServer オブジェクト (fwsl 、 fws2) を 
追加する。 




2 SJ 


General 
Cluster Members 

Topology 

VPN 

Extranet 

Authentication 

Masters 

Log Servers 

Synchronization 


Cluster Members 

Gateway Cluster members List ： 



Add... | Remove I 


Edit... 


Cancel 


4. Synchronization ページで同期を実行するネツトワークを入力する。 

同期を行うことにより、運用系サーバ (fwsl) が停止し、待機系サーバ (fws2) が代わりに起動した 
場合に fws2 は、 fwsl で接続の更新された状態を保持するため、接続を維持することができます。 


I チェック I 

異なるコンピュータで実行している VPN -1 / FireWall -1 モジュールは、互いの状態を同期する 
ことができ、これにより情報を共有し、接続の状態が変更される毎に互いの情報を更新するこ 
とができます。 


；••• Topolog 
I-VPN 


! Authentication 
: Masters 
Log Servers 
: Synchronization 


Iン Use State Synchronization 
: hronization networks： 


Synchrt 

Netwc 


fork Name [ IP Hddress 


Remove I 


xj 


Network Nams ： isync.net 

IP Address ： 1192.168 .2.0 

Net Mask ： [255.255.255.0 


OK 


Cancel 


Help 
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セキュリティポリシーの作成 


ネットワーク構成に応じてセキュリティポリシーを作成してください。 

ステルスルール( Fi 「 ewallSe 「\/ e 「自身へのアクセスを拒否するルール）に関しては fws 1、 fws 2 
の両サーバを設定することに注意してください。 

ネットワークに対して Hide モードの NA 丁を設定する場合 、 Hiding IP Address にはインター 
ネット側の仮想 IP アドレスを指定します。 






























二重化用ルールの追加 

二重化機能を使用するためには、ドね\^1136^^「間の状態監視用通信を通すためのルールを 
設定する必要があります。 

1. 以下のサービスを定義します。（名前は一例です。他の名前でも構いません。） 


オブジェクト 

名前 

ポート 


TCP 

cae_tcp 

24001 


2 SJ 


General | 
Name ： 
Comment ： 
Cotor ： 

Port ： 

To s| 
lowest 


|cae tcp 


33 


get 」 


124001 

icify a port range, add a hyphen between the 丨 

and the highest port numbers, for example 44-55. Advanced... I 


キャンセル」ヘルプ 


オブジェクト 
名前 
ポート 


UDP 

cae_udp 

24002 


凶 


General j 
Name ： 
Comment ： 
Cotor ： 
Port ： 


[cae udp 




124002 


Qet 」 


To specify a port range, add a hyphen between the 丨 

lowest and the highest port numbers, for example 44-55. _ Advanced... 


キャンセル J ヘルブ 


上記ポート番号はデフオルトのポート番号です。二重化機能の基本設定でポート番号を変更す 
る場合はその設定に合わせてサービスの定義を行ってください。 


2 . 二重化通信用のルールを追加する。 

ルールセツトの一番上にくるよラに追加してください。（下記ポリシーのN 0.1 ) 


| N0 

SOURCE 

DESTINATION 

SERVICE ACTION 

TRACK 


COMMENT 

1 

[j® fws2 

fliH fwsl 

[]® fws2 

caejcp 

UDP cae_udp 

❿ accept 

- None 

圆 Gateways 

★ Any 



* Any 

fwsl 

[L fws2 

* Any 

® drop 

[T] Alert 

圃 Gateways 

* Any 

Stealth the Firewall att ； 

B 

-Sr 1 - LocalNet 

口 MailServer 

pop-3 

❿ accept 

圍 Log 

國 Gateways 

* Any 

し ocqI network e-mail n 


* Any 

口 MailServer 

smtp 

㊉ accept 

圓 Log 

國 Gateways 

* Any 

Incoming mail access t 


l_l MailServer 

* Any 

srntp 

㊉ accept 

圓 Log 

國 Gateways 

* Any 

Outgoing mail from the 

B 

* Any 

口 Webserver 

I££ http 
ftp 

❿ accept 

圇 Log 

國 Gateways 

* Any 

Open access to the w 

7 

平 DMZnet 

■V - LocalNet 

* Any 

Q reject 

|T] Alert 

國 Gateways 

* Any 

Protect the local netwc 

8 

平 LocalNet 

平 DMZnet 

* Any 

Q reject 

|T] Alert 

_ Gateways 

* Any 

Protect the DMZ netwc 

D 

平 LocalNet 

* Any 

fggf InternetServices 

❿ accept 

圍 Log 

圆 Gateways 

* Any 

Allow Selective Oulgoi 


* Any 

* Any 

^ SilentServices 

(§) drop 

- None 

國 Gateways 

* Any 

Silent drop for broadc? 

D 

* Any 

* Any 

* Any 

(§) drop 

[j] Alert 

画 Gateways 

* Any 

Last rule 
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セキュリティポリシーのインストール 


セキュリティポリシーの作成が完了したら、ポリシーをインス!ルしてください。2台の 
ドね\^1136「ソ6「に一度にインストールされます。 

セキュリティポリシーのバックアップ 

二重化構成の場合、 Fi 「 eWall -1 管理サーバにポリシー情報が保存されます。何らかの要因で 
FireWall -1 管理サーバを再インストールする場合にそなえて以下のディレクトリ配下の全 
ファイルをバックアップしてください。 


$ FWDIR ¥ conf \ i?f 

$ FWDIR ¥ database \ i?f 

$ FWDIR ¥ lib \ i?f 

($ FWDIR は FireWall -1 をインストールしたディレクトリ、通常は C :¥ W _ T ¥ FW 1¥ NG ) 



機能の基本設定 


二重化機能の基本設定方法を説明します。設定は基本設定ツールから行います。両サーバで 
全く同じ設定を行ってください。 

二重化機能の設定項目およびそれぞれの制限事項は以下のとおりです。 

• 八一トビート送信間隔 

サーバ監視用のバケット送信間隔(秒)を入力します。デフォルトは1(秒)です。 

• 八一トビートタイムアウト時間 

ハートビートが途絶して相手サーバが夕'ウンしたと認識するまでの時間(秒)を指定しま 
す。ハートビート送信間隔より大きい値を指定してください。デフォルトは5(秒)です。 

• 内部通信用 TCP ポート番号 

2台のドれ\^1136「ソ6「間で通信を行うための丁0卩のポート番号を指定します。 

• 内部通信用 UDP ポート番号 

2台のド1「6\^1136「ソ6「間で通信を行うための10卩のポート番号を指定します。 

• サーバ 1のホスト名 

ホスト名は FQDN 形式ではなく、ドメイン名部分を除いた名前を指定してください。 

• サーバ 2のホスト名 

ホスト名は FQDN 形式ではなく、ドメイン名部分を除いた名前を指定してください。 

• サーバ1のインタコネクトアドレス 

相手サーバを監視するためのアドレスとネットマスクを入力します。 

• サーバ2のインタコネクトアドレス 

相手サーバを監視するためのアドレスとネットマスクを入力します。 

• 仮想 IP アドレス 

二重化機能を使用する場合、ド1阳\^311361^^「へのアクセスは原則仮想卩アドレスを使用す 
る必要があります。 

サーバ間監視専用インタフェースを除く全インタフェースに仮想 IP アドレスを設定して 
ください。 

• 監視対象 IP アドレス 

監視対象として設定された IP アドレスとの通信が途絶した場合、待機系サーバにフェイ 
ル オーバが 行われます。 

• 運用系 サーバ 

サーバ1とサーバ2のどちらを運用系サーバにするかを指定します。 

• 自動フェイルバック 

自動フェイルバックを行ラかどうか設定します。自動フェイルバックを auto にした場 
合、運用系夕'ウン後、待機系に業務が引き継がれている状態で、運用系が復帰(起動)す 
ると、自動的に運用系に業務を戻します。 
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以下に基本設定ツールでの設定手順を示します。 




Firewall Server configuration tool Ver.1.4 

< 省略します。 2 章の「セットアップ」を参照してください。> 


- START CLUSTERPRO AE configuration - 

CLUSTERPRO AE Configuration Tool Ver 1.1 

- cluster conriguration - 

Input HB interval(1 - 999)[1] : ..... 


Input HB timeout(1 - 999)[5] : 


Input API TCP port number [24 0 01] : .............................................................................. 


Input HB UDP port number [24 0 02] : .. 


Input serverl host name : fwsl . 


Input S 0 rv 0 ]r 2 host na.m 0 • fws 2 -------------------------------------------------------------------------------------- 





① 


② 


③ 

④ 

⑤ 

⑧ 

⑦ 

⑧ 


① 設定 ツールを 起動する。 

② 二重化機能を使用するかの問い合わせがあるので、<丫>キーを押す。 

③ ハートビート送信間隔を入力する。 

④ ハートビートタイムアウト時間を入力する。 

⑤ 内部通信用の TCP ポート番号を入力する。 

⑥ 内部通信用の UDP ポート番号を入力する。 

⑦ サーバ1のホスト名を設定する。 

ホスト名は FQDN 形式ではなく、ドメイン名部分を除いた名前を指定してください。 

⑧ サーバ2のホスト名を設定する。 

ホスト名は FQDN 形式ではなく、ドメイン名部分を除いた名前を指定してください。 
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- server configuration - 

Input fwsl interconnect address 
address(1) 
netmask (1) 
address(2) 
netmask(2) 
address(3) 

No. address/netmask 

1 192.168.2.1/255.255.255.0 

2 192.168 .1.1/255.255.255.0 

("a"=add | "m num"=modify | "d num"=delete | "1"=list | Enter=next) 


192.168 .2.1 
255.255.255.0 

192.168 .1.1 
255.255.255.0 


192.168 .2.2 
255.255.255.0 

192.168 .1.2 
255.255.255.0 


Input fws2 interconnect address 
address(1) 
netmask (1) 
address(2) 
netmask(2) 
address(3) 

No. address/netmask 

1 192.168.2.2/255.255.255.0 

2 192.168 .1.2/255.255.255.0 

("a"=add | "m num"=modify | "d num"=delete | "1"=list | Enter=next) : 


■① 


■② 


①運用系サーバのサーバ間監視用アドレス（インタコネクトアドレス）とネットマスクを入 
力する。 

サーバ間監視用アドレス（インタコネクトアドレス）は2個まで設定可能です。 

設定後に一覧を表示します。 

一覧から設定内容の追加、および修正、削除、一覧の再表示をキー入力から操作できま 
す0 


< A > キー + < Enter > キー: 


インタコネクトアドレスを追力□しま 
す0 


< M > キ ー +「修正する一覧の番号」 +< Ente 「> キー：指定した番号の設定を修正します。 

< D > キー+「削除する一覧の番号」 +< Ente 「> キー：指定した番号の設定を削除します。 

< L > キー+く Ente 「> キー： 一覧を再表示します。 

< Enter > キー： 次の項目へスキップします。 

②待機系サーバのサーバ間監視用アドレス（インタコネクトアドレス）とネットマスクを入 
力する。 

運用系サーバの場合と同様に一覧から設定内容の追加、および修正、削除、一覧の再表 
示をキー入力から操作できます。 
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- fip configuration - 

Input FIP address . 

address(1) : 202.247 .5.3 
netmask(1) : 255.255.255.0 
address(2) :172.16 .1.3 
netmask(2) : 255.255.255.0 

address(3) : 192.168.1.3 
netmask(3) : 255.255.255.0 

address(4) : 

No. address/netmask 

1 202.247.5.3/255.255.255.0 

2 172.16 .1.3/255.255.255.0 

3 192.168.1.3/255.255.255.0 

("a"=add | "m num"=modify | "d num"=delete | "1"=list | Enter=next) : 


①仮想 IP アドレスを入力する。 

仮想 IP アドレスは8個まで設定可能です。 

設定後に一覧を表示します。 

一覧から設定内容の追加、および修正、削除、一覧の再表示をキー入力から操作できま 
す0 


< A > キ ー + < Enter > キー： 

< M > キー+「修正する一覧の番号」 +< Ente 「>* —: 
< D > キー+「削除する一覧の番号」 +< Ente 「> キー: 
< L >+—+< Enter >^— : 

く Enter 〉 キー： 


仮想 IP アドレスを追加します。 
指定した番号の設定を修正します。 
指定した番号の設定を削除します。 
一覧を再表示します。 

次の項目へスキップします。 


■： 二重化機能を使用する場合、 FirewallServer へのアクセスは、原則仮想 IP アドレスを使用す 

る必要があります。 

サーバ間監視専用インタフエース以外の全インタフヱースに仮想 IP アドレスを設定してくだ 
さい。 
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202.247 .5.254 

192.168 .1.254 


• 202.247 .5.254 と 192.168.1.254 の双方と通信が途絶した場合にフェイルオーバを 
行し ' 'たい場合。 

No . address 

1 202.247 .5.254 I 192.168 .1.254 

• 202.247 .5.5 と202.247 .5.254 の双方と通信が途絶した場合か、192.16 8.1.254 と 
通信が途絶した場合にフェイルオーバを行いたい場合 

No . address 

202.247 .5.5 I 202.247 .5.254 
192.168 .1.254 


- ipw configuration 


Input IPW address address ..... 

address(1) : 202.247.5.254 1202.247 .5.5 

address(2) : 192.168.1.254 
address(3) : 

No. address 

1 202.247.5.254 1202.247 .5.5 

2 192.168.1.254 


("a"=add | "m num"=modify | "d num"=delete | "1"=list | Enter=next) : 


.① 


①監視する IP アドレスを入力する。 

「 I 」で区切って複数の IP アドレスを入力することができます。その場合は、指定した全 IP 
アドレスとの通信が途絶した場合にリソース異常となります。 

監視する IP アドレスは8個まで設定可能です。ただし、「 I 」で区切った IP アドレスは全体 
で1つの IP アドレスとしてカウントします。 

設定後に一覧を表示します。一覧から設定内容の追加、および修正、削除、一覧の再表 


示をキー入力から操作できます。 

< A > キー + < Enter > キー： 

< M > キ ー +「修正する一覧の番号」+く Ente 「> キー： 
< D > キー+「削除する一覧の番号」+く Enter 〉 キー： 
< L > キ ー+< Ente 「>+— : 

< Ente 「> キー: 


監視する IP アドレスを追加します。 
指定した番号の設定を修正します。 
指定した番号の設定を削除します。 
一覧を再表示します。 

次の項目へスキップします。 


響〜 

rpn 


監視対象として設定された ip アドレスとの通信が途絶した場合、待機系サーバにフヱイル 
オーバが行われます。 


く設定例〉 


202.247 .5.254 と1 92. 1 68. 1 .254 のどちらかと通信が途絶した場合にフエイルオー 
パを行いたい場合。 


No . address 


12 
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Input primary server hostname(fwsl,fws2)[fwsl] 

Input fallback policy(1 : auto, 2:manual)[manual] 

- END CLUSTERPRO AE configuration - 

once again input? (y/n)[n] : 

change root password? (y/n) [n] : 

Thu May 17 20:21:50 JST 2001 
set date and time? (y/n)[n] : 

stop unnecessary services? (y/n)[n] : 

Please reboot the system. 

# shutdown -r now . 


① 

② 

③ 


④ 


① 運用系サーバを入力する。 

② 自動フェイルバックを行うかどうが入力する。 

自動フェイルバックを auto にした場合、運用系夕'ウン後、待機系に業務が引き継がれて 
いる状態で、運用系が復帰(起動)すると、自動的に運用系に業務を戻します。 

③ 二重化機能の設定の終了。 

④ 設定を有効にするため、再起動する。 


他のネットワーク機器の設定 


イントラネットと DMZ に存在するネットワーク機器については、デフォルトルートの設定 
としてそれぞれのネットワークの仮想 IP アドレス（イントラネット側：192.168.1.3、 DMZ 
172.16 .1.3) を指定するようにしてください。 
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運用 


二重化構成の運用について説明します。 


障害発生時の対応 


運用系サーバにおいて障害を検出した場合には、フェイルオーバが発生し待機系サーバへ業 
務が切り替わります。その際に基本設定ツールで指定した管理者の E - mail アドレス宛にメー 
ルが送信されます。 

• ダウンしたときのメッセージ 


Sudj ect : WARNING : Firewall is downea 
!!WARNING!! 

Firewall(twsl.nec.co.jp[202.247.5.1])is not active. 
Urgently check it. 

If you recieved a previous message "NOTICE : Switch over to 
the active firewall"from fwsl.nec.co.jp [202.247.5.1], 
both firewalls are downed. 

Urgently check both rirewalls!! 


• フェイルオーバしたときのメッセージ 


Subject: NOTICE : Switch over to the active firewall 
!!NOTICE!! 

Switch over to the active firewall(fws2.nec.co.jp[202.247.5.2]). 
Urgently check another failed firewall. 


I n-O ダウンした要因がネットワークの通信障害などの場合、ダウンしたときのメッセージが 
FirewaNServer 内に滞留し、障害復旧後に送信されることがあります。メッセージを受信 
したら必ずその発信時刻を確認するようにしてください。 

メールを受信した0^1「6\^81136「ソ6「の状態を確認し、システム□グ ( syslog ) からフェイル 
オーバが発生した要因を確認し、必要な対処を行ってください。メッセージ内容、対処方法 
等は「付録 C 二重化機能の□グメッセージ」 (262 ページ)を参照してください。 

監視対象 IP アドレスとの通信途絶、あるいは、 FireWall -1 プロセス異常が発生し、待機系 
サーバに業務を引き継いだ場合、以後、そのサーバ上での業務の起動が拒否されるよラにな 
ります。そのサーバが業務の起動拒否状態かどうかは、 [ caestat - i ] コマンドの 
[ ENVIR 〇 NMENT ] で確認できます。 [ ENVIRONMENT ：^' n DEACT 」 LLEGAL n の場合は起動 
拒否状態となっていることを表します。 

起動拒否状態となっている場合は速やかにその障害の対処を行い、サーバの再起動を行って 
ください。 
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コマンドリファレンス 


状態表示、運用系、待機系の切替等はコマンドを使用して行います。 

情報表示 

現在の状態、設定内容を確認するには以下のコマンドを実行します。 

caestafe-s[ -Bnost name] 

-il-Boost name] 

状態、設定情報の表示を行います。 

-S または引数なし....各種状態を表示します。 

-i. 各種設定を表示します。 

-h host_name. 操作対象サーバ名。指定なしの場合、コマンド実行サーバが対象とな 

ります。 


# caestat -s 


CLUSTER STATUS on fwsl 


SERVER : hostl 

ONLINE . 

GROUP : group0 

ONLINE . 

RESOURCE : fipO 

ONLINE . 

RESOURCE : fipl 

ONLINE 

RESOURCE : ipwO 

ONLINE 

RESOURCE : ipwl 

ONLINE 

RESOURCE : execO 

ONLINE 

RESOURCE : execl 

ONLINE 

RESOURCE : exec2 

ONLINE 

SERVER : host2 

ONLINE 

GROUP : group0 

OFFLINE 

RESOURCE : fipO 

OFFLINE 

RESOURCE : fipl 

OFFLINE 

RESOURCE : ipwO 

OFFLINE 

RESOURCE : ipwl 

OFFLINE 

RESOURCE : execO 

OFFLINE 

RESOURCE : execl 

OFFLINE 

RESOURCE : exec2 

OFFLINE 


① 

② 

③ 


① サーバの 状態 

② グループの 状態 

③ 各リソースの状態 
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# caestat -d 


CLUSTER INF 〇 RMATION on fwsl 


CLUSTER 


STARTUP 

AUTO …. 

HB interval 

1. 

HB timeout 

5 . 

WAIT timeout 

5 

HB port 

24002 ■■ 

API port 

24001 ■■ 

API timeout 

30 

ping timeout 

1 

RECOVER 

RESTART 

RETRY count 

5 

SERVER0 : hostl. 



INTERC 〇 NNECTO 
INTERCONNECTl 

SERVER1 : host2 
INTERCONNECTO 
INTERCONNECTl 

GROUP0 : group0 
START 
FAILBACK 
ENVIRONMENT 
RECOVER 
RETRY count 
FAILOVER policy 

FIPO : fipO 
ADDRESS 
INTERFACE 
PING count 
ARP count 
RECOVER 
RETRY count 

IPWO : ipwO 
POLLING address 
RECOVER 
RETRY count 


192.168 .1.1/255.255.255.0 
192.168.2.1/255.255.255.0 


192.168.1.2/255.255.255.0 
192.168 .2.2/255.255.255.0 


AUTO 

MANUAL . 

ACT NORMAL 

IGNORE 

0 

hostl host2 


202.247.5.3/255.255.255.0 
ethO : 0 
0 
1 

RETRY 

5 


202.247.5.254 | 192.168.1.254 

FAILOVER 

2 


① 二重化機能が有効になっているかどうか 

② 八一トビート送信間隔(秒） 

③ ハートビートタイムアウト時間(秒） 

④ 内部通信用 UDP ポート番号 

⑤ 内部通信用 TCP ポート番号 

⑥ ホスト名 

⑦ インタコネクトアドレス 

⑧ 自動フェイルバックを行うかどうか 

⑨ 運用系 サーバ 待機系 サーバ 

⑩ 仮想 IP アドレス 
⑪監視対象アドレス 


①②③ @這 


⑥⑦ 
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運用系/待機系の切り替え • 業務の起動/停止 

運用系/待機系の切替や、業務の起動/停止を行ラ場合、以下のコマンドを実行します。 

caegrp -s [-h host name] 

-t [-h host_name] 

-m [-h host_name] 

業務の起動/停止関連操作を行います。 

-S. 業務の起動を行います。すでに起動されていたり、他のサーバで起動 

している場合には失敗します。 

-t. 業務の停止を行います。すでに停止されていたり、他のサーバで起動 

されている場合には失敗します。 

-m. 業務の実行サーバを切り替えます。業務が起動しているサーバ側で実 

行する必要があります。 

-h host.name. 操作対象サーバ名です。指定なしの場合、コマンド実行サーバが対象 

となります。 -m オプション指定時には、業務移動元サーバの意味も持 
ちます。 







二重化構成の再セットアップ 


二重化構成の場合の再セットアップについて説明します。 

次の手順に従って「3ね\^11361^^「を再インス I ルします。 

1. 「システムの再インストール」 （77 ベージ)を参照しながら手順1◦までを行う。 

2 . 続いて、 「FireWall-1 のコンフイグレーシヨン」 （124 ページ)の作業を行う。 

3 . 管理サーバの Policy Editor で、再セットアップを行った FirewallServer の Firewall Gateway オフ'' 
ジェクトの Workstation Properties ウインドウを開く0 

General タブの [Communication...] をクリックし、 FireWall-1 モジュールのインストール時に設定 
したパスワードを再入力します。（再セットアップ前と同じパスワードを設定した場合でも必ず再 
入力してください。） 

4 . セキュリティポリシーを再インストールする。 


二重化構成の場合はセキュリティポリシーが Fi 「 eWall -1 管理サーバの中に保存されているた 
め、ドね\^11361^^「本体の再インストールの際には Fi 「 eWall -1 ポリシー情報のリストアは必要 
ありません。 

I H -〇 FireWall -1 管理サーバを再インス!ルする場合には「セキュリティポリシーのバックアッ 
プ」 （132 ページ)でバックアップしておいたファイルをリストアしてください。 


一重化構成について 
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注意 • 制限事項 


• ド1阳\^31136「ソ6「は2台購入していただく必要があリます〇また、ライセンスは同じノード 
数のものをそれぞれの実 IP アドレスで申請していただく必要があります。 

• フェイルオーバ機能（障害時に待機している2台目の「ね\^1136^^「に処理を引き継ぐ)の 
みのサポートです。2台同時に利用できるわけではありません。負荷分散(ロードバラシ 
ング)機能はありません。 

• 自動フェイルバック時、接続されていたセッションが切断される場合があります。 

• 高負荷等の要因により、運用系、待機系の双方で業務が起動してしまラ場合がありま 
す。その場合、運用系、待機系いずれかのサーバを再起動してください。 

• 自動フェイルバックが設定されている場合、運用系サーバ再起動後、自動的に運用系 
サーバで業務が開始されます。自動フェイルバックが設定されていない場合は、待機系 
サーバで業務が起動されたままになり、運用系サーバの方が待機状態になります（運用 
系、待機系の逆転)。運用系サーバに業務を切り替える場合はコマンド ( caeg 「 p - m ) によ 
りサーバの切り替えを実行する必要があります。 
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